GDPR(EU一般データ保護規則)のためのマルチクラウドセキュリティとは?
欧州連合(EU)に顧客がいる場合は、一般データ保護規則(GDPR)が適用されます。これに複数のクラウドが加わると、コンプライアンスの維持が課題となります。
記事:What multi-cloud security means for GDPR
artmotion AG - スイスのデータホスティング・サイバーセキュリティ企業
GDPRは、おそらく最近の記憶の中で最も包括的なデータ規制の改革です。この改革は、大陸や世界中の企業がデータの保存、セキュリティ、アクセス、利用戦略をどのように策定するかに直接的な影響を与えます。
主な目的は、EU市民に個人データの管理と透明性を高めることです。また、企業は、顧客や従業員の個人データを保護するために最大限の努力をすることが求められています。
ビジネスが進化し、規模が拡大するにつれ、テクノロジーの追加や削除、データの収集、使用方法は厳格なデータ規制の対象となります。EUと英国では、この法律の要件を遵守しない場合、2000万ユーロまたは世界の収益の4%に相当する罰金が科せられるリスクがあります。
クラウドを利用することで、コンプライアンスを取り巻く複雑な問題を効果的に管理することが容易になります。しかし、企業はさまざまなテクノロジー、クラウドコンピューティングモデル、マルチクラウドセキュリティによってもたらされるリスクを考慮に入れる必要があります。
これを簡単にするために、私たちはGDPRチェックリストを作成しました。
1. 取締役会レベルの支持を得て、説明責任を確立する
大企業がEU市場に参入する場合、このプロセス全体は、役員レベルのサポートを受けることから始まります。ウェブサイトがEU居住者にアクセス可能な場合(EU居住者のデータを収集している場合)も、同様の規則が適用されます。
すべての取締役会メンバーは、この規制がもたらすプラスとマイナスの両方の意味を理解していなければなりません。取締役会レベルのサポートを得ることで、コンプライアンスの達成と維持、説明責任の確立に必要なリソースの配分が格段に容易になります。
2. マルチクラウドGDPRコンプライアンス・プロジェクトのスコープと計画
取締役会の支持を得て、会社のGDPRの適用範囲に該当する領域を見直す時が来ました。この作業は一筋縄ではいかないので、プロジェクトマネージャーを任命して監督・管理するのがベストです。しかし、GDPRはすべての加盟国でデータ保護規制を統一しているという朗報もあります。
10~15人以上の専門家を雇用している場合は、データ保護責任者(DPO)を雇いましょう。経験豊富なDPOは、特別なカテゴリーのデータの処理を含め、データ主体の監視と維持を規模的に支援します。
このプロセスを円滑に進めるために、基準を特定するためのフレームワークを構築し、GDPR準拠の優先順位を設定します。
以下のリソースは、堅牢なコンプライアンスフレームワークの策定に役立ちます。
・The international information security standard ISO 27001
・The international information security standard ISO 27701
・The standard for a personal information management system (PIMS) BS 10012
また、今は堅牢なマルチクラウド管理プラットフォームとツールを特定して導入する絶好の機会でもあります。
例えば、1つのクラウドに2,000のクラウドサービスがあり、他のクラウドには1,500のクラウドサービスがあるとすると、5,000のサービスを追跡、監視、管理、セキュリティ保護する必要があります。このようなシナリオでは、マルチクラウド管理プラットフォームは、コンプライアンスを確保するために大きな役割を果たします。
3. データ処理契約書の締結
データ対象者の個人データを取り扱う第三者サービスとデータ処理契約を締結してください。顧客が収集した個人データを管理するために第三者サービスを使用している場合は、データ処理契約の締結が必須です。
これには、電子メールサービス、分析ソフトウェアなどが含まれます。これらのサービスのほとんどは、ウェブサイト上で標準的なデータ処理契約を自慢しています。それをスルーして、十分なデータ保護の保証を行い、データ保護戦略を補完するサービスのみを契約するのがベストでしょう。
4. GDPR遵守のための説明責任を誰かが負うことを確認する
GDPR コンプライアンスの説明責任を組織内の誰かに割り当てる。この役割を担うのは、データ保護方針を評価し、組織全体で実施する権限を与えられたGDPRコンプライアンス・ディレクターまたはDPOです。
各加盟国で大量の個人データを処理する場合は、その国の代表者を任命する必要があります。この個人は、あなたに代わってデータ保護当局と(その国の言語で)コミュニケーションを取ることができます。
ただし、公共団体など一部の組織では、EU内で代表者を任命する必要がないことに注意が必要です。
5. データ収集、保持、消去の同意を得る
プロセスの各ステップは、コンプライアンスと透明性の向上に役立つはずです。言い換えれば、消費者とユーザーは、自分たちのデータをよりコントロールすることで利益を得なければなりません。しかし、より多くのコントロールを提供する前に、まずデータの収集と保存について顧客の同意を得る必要があります。
クラウドサーバーに保存されている個人データには有効期限がなければなりません。さらに、ユーザーはデータ管理者の権利を優先して、データの削除を要求できるようにしなければいけません。
ここで重要なのは、ユーザーや顧客が自分の情報にアクセスしたり、データの修正や更新をしたり、データ収集の停止を求めたりすることが容易にできるようにすることです。同様に、自動化されたプロセスが意思決定に使用されている場合には、人間の介入を簡単に要求できるようにします。
6. クラウドプラットフォーム全体で強固なセキュリティを活用する
機密情報を収集している場合、クラウド・プラットフォーム全体でデータを暗号化することは、リスクを軽減する上で非常に重要です。GDPRでは暗号化についての議論はされていませんが、暗号化キーはクラウドサービスプロバイダではなくエンドユーザー(クライアント側)に保存され、堅牢な暗号化プロトコルを導入することが重要です。
このシナリオでは、不幸にもデータ漏洩が発生した場合、暗号化されたデータは悪質な行為者にとって無意味なものとなります(悪質な行為者は復号鍵を持っていないため)。さらに、アイデンティティとアクセス管理、リアルタイム監視、堅牢なゼロ・トラスト・プロトコルを探してください。
上記のすべてが、GDPRのコンプライアンスを維持するだけでなく、リスク・エクスポージャーを大幅に削減するのに役立ちます。正しい方法で行えば、ブランド名を見出しに出さず、高額な罰金を回避することができます。
GDPRチェックリスト:
・ボードレベルのサポートを得る
・説明責任の確立
・マルチクラウドプロジェクトのスコープと計画
・データ処理契約書の締結
・GDPR準拠の責任を誰かが負うことを確認する
・データの収集、保持、消去の同意を得る
・クラウドプラットフォーム全体で堅牢なセキュリティプロトコルを活用
クラウドを活用してGDPRコンプライアンスを確保し、クラウドセキュリティを強化する方法の詳細については、artmotionの専門家と無料で相談できます。
artmotionは、アカデミック・シンクタンク SEYMOUR INSTITUTEのネットワークセキュリティパートナーです。SEYMOUR INSTITUTEのウェブサイトは、artmotionのデータホスティングで保護されています。
スイスと日本のテクノロジーにおける産学連携/共同研究・事業進出
アカデミック・シンクタンク SEYMOUR INSTITUTE
https://seymour-inst.com/index.html
世界をよい場所にすること、それで十分ではないか?